Abo
  • IT-Karriere:

Malware: Derusbi umgeht trickreich die Windows Driver Signing Policy

Sicherheitsforscher haben neue Details zu der seit mehreren Jahren aktiven Derusbi-Malware veröffentlicht. Die Malware nutzt Schwachstellen in Treibern aus, um sich unentdeckt auf dem System zu installieren.

Artikel veröffentlicht am , Tim Philipp Schäfers
Derusbi setzt die Driver Signing Policy von Windows außer Kraft.
Derusbi setzt die Driver Signing Policy von Windows außer Kraft. (Bild: Sekoia)

Die aus verschiedenen Hacks bekannte Malware Derusbi nutzt eine Schwachstelle in einigen Treibern aus, um die Driver Signing Policy des Betriebssystems Windows außer Gefecht zu setzen - das hat die Sicherheitsfirma Sekoia herausgefunden.

Stellenmarkt
  1. Torqeedo GmbH, Gilching
  2. DIS AG, Raum Wolfsburg

Derusbi ist keine unbekannte Malware. Bereits im Jahr 2008 wurde die Schadsoftware entdeckt. In den vergangenen Jahren tauchte auch vermehrt verwandte Schadsoftware auf. 2011 wurde Derusbi beispielsweise bei einem Hack auf Mitsubishi Heavy Industries eingesetzt. Auch bei dem sogenannten Anthem Hack in diesem Jahr, bei dem rund 79 Millionen Datensätze von Versicherten kopiert wurden, kam sie zum Einsatz.

Die Funktionsweise ist typisch für ausgereifte Malware und Trojaner: Nachdem ein sogenannter Loader ausgeführt wurde, vermutlich mittels Phishing oder Drive-By-Download, wird Derusbi auf das anzugreifende Zielsystem nachgeladen und erweitert die notwendigen Rechte, um einen Angriff vorzunehmen. So können die Systeme so manipuliert werden, dass der eigentliche Angriff erfolgreicher verläuft. Noch dazu wird es Antivirensystemen schwerer gemacht, die eigentliche Schadsoftware auszumachen.

Eine Schwachstelle in alten Treibern ermöglicht den Angriff

Die Experten der französischen Sicherheitsfirma Sekoia haben nun herausgefunden, wie genau es der Schadsoftware gelingt, sich auf dem Zielsystem als legitim auszugeben und warum sie nur schwer durch gängige Abwehrmechanismen gestoppt werden kann. Die Entwickler von Derusbi nutzen eine Schwachstelle (CVE-2013-3956) in veralteten Treibern, um eine Manipulation von Speicheradressinhalten vorzunehmen. Damit gelingt es ihnen, die sogenannte Driver Signing Policy auszutricksen.

Diese Policy dient seit Windows Vista dazu, dass nur signierte und damit von vertrauenswürdigen Herstellern erstellte Treiber geladen werden können. Dieser Mechanismus soll also sicherstellen, dass keine Rootkits installiert werden können. Die Driver Signing Policy lässt sich zwar manuell komplett ausschalten, doch dann befindet sich der Windows-PC im Testmodus, was mit dem Wasserzeichen "Testmodus" in der rechten unteren Ecke des Bildschirmes deutlich gemacht wird - also ein äußerst auffälliges Vorgehen für eine Schadsoftware, die im Verborgenen bleiben möchte.

Driver Signing Policy wird unsichtbar deaktiviert

Laut Sekoia nutzt Derusbi einen neuen Weg, um die Driver Signing Policy zu umgehen. In dem untersuchten Fall werden drei signierte Treiber der Firma Novell geladen, die gegenüber der genannten Schwachstelle anfällig sind, so dass die Speicheradressinhalte manipuliert werden können. Das Besondere an dem Vorgehen ist, dass die Driver Signing Policy durch die Manipulation nicht unmittelbar deaktiviert, sondern letztlich nur der innere Mechanismus zur Überprüfung außer Gefecht gesetzt wird. Die Richtlinie bleibt erhalten, wird aber faktisch wirkungslos. Somit bemerkt weder der Nutzer noch das Betriebssystem oder die Antivirensoftware, dass die Driver Signing Policy nicht so arbeitet wie eigentlich angedacht. Sind diese Vorbereitungen von Derusbi getroffen, wird weitere Schadsoftware platziert und ausgeführt, und der Angriff nimmt seinen Lauf.

Die Experten von Fortinet kamen bereits in früheren Untersuchungen zu dem Ergebnis, dass Derusbi sehr modular ist und von den Entwicklern ein mehrstufiger Ansatz gewählt wurde. Zudem wird die Schadsoftware nur auf bestimmte Ziele angesetzt. Die neuen Erkenntnisse stützen diese Thesen und zeigen, wie zielgenau die Entwickler Schwachstellen zu nutzen wissen, um letztlich Zugriff auf Zielsysteme zu erlangen.

Sowohl die lange Historie der Malware als auch die trickreichen Vorgehensweisen zeigen, dass die Entwickler eine ganze Reihe an Möglichkeiten (und Exploits) haben, um Zielsysteme zu befallen. Es ist anzunehmen, dass das ermittelte Vorgehen zum Befall nur eines von vielen ist und es sich bei Derusbi um einen Baustein einer ganzen Schadsoftware-Suite handelt. Die Entwickler scheinen ein sehr großes Insiderwissen über den Windows-Kernel zu haben und noch dazu ausreichende Ressourcen, um gezielte Angriffe vornehmen zu können. Möglich also, dass es sich um einen Geheimdienst oder eine Organisation mit ähnlich großen Ressourcen handelt.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

Schiwi 10. Dez 2015

Trotzdem beunruhigend dass die Malware Hersteller wohl über große Ressourcen und offenbar...

multivac 08. Dez 2015

zu 1.) Beginning with the release of Windows 10, all new Windows 10 kernel mode drivers...


Folgen Sie uns
       


Ancestors - Fazit

Mehre Millionen Jahre in einem Spiel: Dieses mutige Ziel hat sich das Indiegame Ancestors - The Humankind Odyssee gesetzt.

Ancestors - Fazit Video aufrufen
Surface Hub 2S angesehen: Das Surface Hub, das auch in kleine Meeting-Räume passt
Surface Hub 2S angesehen
Das Surface Hub, das auch in kleine Meeting-Räume passt

Ifa 2019 Präsentationen teilen, Tabellen bearbeiten oder gemeinsam auf dem Whiteboard skizzieren: Das Surface Hub 2S ist eine sichtbare Weiterentwicklung des doch recht klobigen Vorgängers. Und Microsofts Pläne sind noch ambitionierter.
Ein Hands on von Oliver Nickel

  1. Microsoft Nutzer berichten von defektem WLAN nach Surface-Update
  2. Surface Microsofts Dual-Screen-Gerät hat zwei 9-Zoll-Bildschirme
  3. Centaurus Microsoft zeigt intern ein Surface-Gerät mit zwei Displays

E-Auto: Byton zeigt die Produktionsversion des M-Byte
E-Auto
Byton zeigt die Produktionsversion des M-Byte

IAA 2019 Die Premiere von Byton in Frankfurt ist überraschend. Da der M-Byte im kommenden Jahr in China startet, ist die Vorstellung des produktionsreifen Elektroautos in Deutschland etwas Besonderes.
Ein Bericht von Dirk Kunde


    Serielle Hybride: Unterschätzte Zwischenlösung oder längst überholt?
    Serielle Hybride
    Unterschätzte Zwischenlösung oder längst überholt?

    Die reine E-Mobilität kommt nicht so schnell voran, wie es Klimaziele und Luftreinhaltepläne erfordern. Doch viele Fahrzeughersteller stellen derweil eine vergleichsweise simple Technologie auf die Räder, die für eine Zukunft ohne fossile Kraftstoffe Erkenntnisse liefern kann.
    Von Mattias Schlenker

    1. ADAC Keyless-Go bietet Autofahrern keine Sicherheit
    2. Gesetzentwurf beschlossen Regierung verlängert Steuervorteile für Elektroautos
    3. Cabrio Renault R4 Plein Air als Elektro-Retroauto

      •  /